L’autorité américaine de cybersécurité CISA met en garde contre des failles de sécurité critiques dans les appareils de la marque Mimosa du fournisseur d’équipements réseau Airspan Networks. Des pirates pourraient ainsi introduire et exécuter des codes malveillants. Les appareils Mimosa, également commercialisés en Allemagne, servent à construire des réseaux radio professionnels selon diverses normes, du Wifi à la 4G et à la 5G. Ils permettent par exemple aux entreprises d’établir des liaisons radio à haut débit entre les bâtiments de l’entreprise.
Sommaire
Plusieurs failles critiques
Sur les sept vulnérabilités répertoriées par la division Industrial Control Systems (ICS) de l’ACIS, trois présentent le niveau de risque le plus élevé possible selon CVSS, à savoir 10.0. Il s’agit notamment d’une authentification incorrecte lors de l’accès aux routes API, ce qui permet aux attaquants d’y accéder sans se connecter et d’injecter du code (CVE-2022-21196, CVSS 10.0, critique). Le même bogue se produit lors de l’accès aux fonctions API (CVE-2022-21141, CVSS 10.0, critique).
En outre, il était possible pour les attaquants d’envoyer des requêtes non autorisées dans le backend par le biais de Server Side Request Forgeries (SSRF) et d’accéder ainsi à des pages qui ne sont accessibles qu’au serveur MMP ou qui pourraient elles-mêmes déclencher certaines actions. Cela aurait par exemple permis d’accéder à des routes sur des plates-formes d’hébergement en nuage, à des clés secrètes ou à des modifications de configuration, entre autres (CVE-2022-21215, CVSS 10.0, critique). De plus, les appareils ne filtraient pas correctement les entrées des utilisateurs, ce qui aurait permis à un attaquant d’introduire des commandes arbitraires qui auraient été transmises au système d’exploitation (CVE-2022-21143, CVSS 9.8, critique).
En outre, les appareils Mimosa n’ont pas suffisamment filtré les entrées utilisateur, ce qui a ouvert une faille d’injection SQL (CVE-2022-21176, CVSS 8.6, haut). Lors de la désérialisation des données, la fonction ne vérifiait pas les données, ce qui permettait aux attaquants de créer des classes arbitraires (CVE-2022-0138, CVSS 7.5, haut). Cette dernière faille ne devrait plus exister depuis longtemps : Les appareils Mimosa ne faisaient que hacher les mots de passe avec le MD5, considéré depuis longtemps comme peu sûr. Et cela également sans Salt. Cela rend les mots de passe inutilement faciles à craquer (CVE-2022-21800, CVSS 6.5, moyen).
Configurer les mises à jour
Mimosa comble les failles de la plateforme de gestion Mimosa MMP avec version 1.0.4, dans les appareils de la série Point-To-Point C (PTP Série C) avec version logicielle 2.90 ainsi que dans la série Point-To-Multi-Point C (PTMP Série C) et A5x en version logicielle 2.9.0 et bien sûr les plus récentes.
Dans son avis de sécurité, la CISA fournit un lien vers les mises à jour ci-dessus pour les produits concernés. Elles sont toutefois réservées aux utilisateurs disposant d’un compte utilisateur. Les administrateurs et les responsables informatiques devraient télécharger et installer rapidement les mises à jour en raison de la gravité des failles.